Nep-callcenters misleiden gebruikers tot het installeren van ransomware en datadieven
Een geavanceerde kwaadaardige campagne, bekend als "BazaCall," richt zich op nietsvermoedende gebruikers door valse callcenters in te zetten om gevaarlijke malware te verspreiden. In plaats van te vertrouwen op traditionele tactieken zoals kwaadaardige URL's of geïnfecteerde bijlagen, gebruiken deze aanvallers een voice phishing (vishing)-aanpak , waarbij slachtoffers worden misleid om malware te downloaden die gegevens kan exfiltreren en zelfs ransomware kan implementeren.
Table of Contents
Hoe BazaCall werkt
De BazaCall-campagne begint met een misleidende e-mail die ontvangers waarschuwt voor een dreigende abonnementsvergoeding. Om het probleem op te lossen, instrueert de e-mail de ontvanger om een specifiek nummer te bellen. Degenen die in de val trappen, komen terecht bij een live-agent in een frauduleus callcenter, waar ze door een reeks stappen worden geleid die resulteren in het downloaden van BazaLoader-malware.
BazaLoader, ook bekend als BazarBackdoor, is een krachtige tool voor hackers . Geschreven in C++, fungeert het als een downloader die andere schadelijke software op geïnfecteerde computers installeert. Deze malware is in staat om gevoelige informatie te exfiltreren en kan de weg vrijmaken voor extra bedreigingen, zoals ransomware zoals Ryuk en Conti. BazaLoader werd voor het eerst geïdentificeerd in april 2020 en is door meerdere cybercriminele groepen gebruikt vanwege zijn veelzijdigheid en stealth.
Volgens het Microsoft 365 Defender Threat Intelligence Team kunnen aanvallers, zodra BazaLoader een systeem infiltreert, toegang krijgen tot cruciale gegevens, inloggegevens stelen en ransomware-aanvallen uitvoeren. Dit alles gebeurt binnen 48 uur na de eerste infectie.
De gevaarlijke aantrekkingskracht van door mensen geleide aanvallen
Een van de redenen waarom BazaCall zo verraderlijk is, is het gebruik van menselijke operators om slachtoffers te misleiden tot het downloaden van malware. Omdat de phishing-e-mails niet de gebruikelijke kwaadaardige links of bijlagen bevatten, is het voor beveiligingssoftware veel moeilijker om deze aanvallen te detecteren en te blokkeren.
Aanvallers achter BazaCall hebben zelfs geavanceerde infectiemethoden ontwikkeld. Eerder in 2023 onthulden onderzoekers van Palo Alto Networks en Proofpoint een operatie die gebruikers ertoe verleidde websites te bezoeken voor nep-e-boekdiensten en filmstreamingplatforms. Eenmaal op deze frauduleuze sites werden slachtoffers aangemoedigd om Excel-spreadsheets te downloaden die waren opgetuigd met de BazaLoader-malware.
De meest recente aanval, ontdekt door Microsoft, omvat een vergelijkbare tactiek. Callcentermedewerkers sturen slachtoffers naar een nepreceptenwebsite (topcooks[.]us), waar de malware discreet wordt ingezet als onderdeel van een 'proefabonnement-annuleringsproces'. De betrokkenheid van live callcentermedewerkers voegt een laag social engineering toe die BazaCall nog gevaarlijker maakt.
Verdedigen tegen BazaCall-campagnes
De BazaCall-aanvalsketen toont de groeiende verfijning van malwarecampagnes, waarbij menselijke interactie een belangrijk onderdeel van de strategie wordt. In tegenstelling tot geautomatiseerde malware-aanvallen, maakt deze hands-on-aanpak het voor organisaties moeilijker om snel bedreigingen te detecteren en erop te reageren.
Om zich te verdedigen tegen zulke complexe aanvallen, benadrukken experts de noodzaak van cross-domein beveiliging en sterke correlaties tussen verschillende gebeurtenissen om een uitgebreide verdediging te ontwikkelen. Monitoring op ongebruikelijke uitgaande communicatie, bewustwordingstraining voor werknemers en waakzaam blijven voor verdachte abonnementskosten zijn slechts enkele van de proactieve stappen om deze bedreigingen te bestrijden.
Cybersecurity blijft evolueren, maar dat geldt ook voor de tactieken van aanvallers. Waakzaamheid en gelaagde verdedigingen zijn essentieel om te beschermen tegen de steeds ingewikkelder wordende malwarecampagnes zoals BazaCall.
